信息系統審計視角下的數據資源及其應用途徑

賈代平

[摘要]面對日益專業化的信息系統，如何提取和挖掘數據是數字化審計面臨的突出問題。本文在分析信息系統服務框架的基礎上，討論了數據字典和交易檔案這兩類具有審計價值的原生數據及其應用。前者為觀察業務數據提供全局指引，由此解決審計視角下的數據完整性問題;后者為業務數據提供時間維度，實現基于時間點的數據透視和業務追蹤。最后通過實證方式構建了一套模擬審計環境，用于示范、交流與培訓本文的審計思路與方法。

[關鍵詞]信息系統審計? ?數據字典? ?交易檔案? ?數據資源? ?數字化能力

伴隨企業和行業的數字化轉型，信息系統審計已成為審計研究的一個重要分支，基于各類電子化數據開展審計工作已成為審計領域的新常態。相對于快速發展的數據技術及其IT基礎設施，信息系統審計的理論與實踐則顯得滯后。為推動信息系統審計的發展，2021年初，中國內部審計協會發布了《第3205號內部審計實務指南——信息系統審計》，起草人在解讀中明確指出，“信息系統審計需求的不斷增長與有效供給顯著不足的矛盾愈來愈突出，已成為困擾內審同仁的一大痛點”。

一、信息系統審計的數據觀

信息系統審計高度依賴各類數字化資源，需要審計人員在實踐中提高對各類數據源及其運行平臺的認識。一方面，受訪問方式和信源結構的限制，審計人員或審計工具能夠提取到的數據只是整體業務數據的局部，即審計視角下的數據并不能反映業務數據的全貌，這會導致后續的業務審計出現類似“盲人摸象”的情境。另一方面，在早期的審計實踐中，紙質的業務檔案曾經發揮著重要作用，查檔是審計作業必不可少的環節。進入信息化審計階段后，面對電子化的數據，檔案的價值卻被普遍地忽視了，導致數字化審計常面臨無檔可查的局面。事實上，現代信息系統在處理各類業務數據的同時，出于平臺內在運行機制的需要，并行記錄著所有業務數據的數字化軌跡，即業務數據的變化歷史，這就是信息化條件下的新型檔案。信息系統審計中，要提高審計能力，提升審計的數字化水平，需要我們打開數據視野，重視檔案的價值，發掘數據平臺帶給我們的立體化信息。

二、兩類具有審計價值的數據資源

面對快速發展的信息系統及其數據技術，審計思路與方法需要與時俱進。2015年12月，中共中央辦公廳、國務院辦公廳印發了《關于完善審計制度若干重大問題的框架意見》及相關配套文件，其中《關于實行審計全覆蓋的實施意見》第七條“創新審計技術方法”明確指出，構建大數據審計工作模式，提高審計能力、質量和效率，擴大審計監督的廣度和深度。我們認為，要達成這個數字化審計目標，審計人員首先需要熟悉現代信息系統的服務框架和數據源的基本結構。

（一）信息服務的總體架構

信息系統的本質是為用戶提供數據和數據處理服務。這里的服務就是一種無形的產品，和所有其它的有形產品一樣，同樣存在著生產和消費兩個環節。無論信息系統的外在形式如何，都可據此劃分為服務生產和服務消費兩大部分，在IT領域把這兩個部分形象地比喻為臺前、幕后，臺前的部分（即面向業務用戶的部分）叫做客戶端/前端（Client/Foreground），幕后的部分（即實施數據處理的部分）叫做服務端/后端（Server/Background）。服務端可以同時提供多種不同類型的業務處理（如企業的人事、財務、投資、銷售等），用戶通過不同的客戶端來獲得對應的服務。這樣的架構下，一種類型的客戶端只能夠訪問對應的局部數據，不同的客戶端訪問后端數據的不同部分。更進一步，即使是同一類型的客戶端，由于賬戶連接的身份不同，能夠處理的業務數據也會有所不同。

上述的這種局部數據觀（或稱局部數據視野）對業務用戶來說是合理的，但對審計用戶來說顯然存在相當大的局限性。長期以來，數字化審計在這種數據訪問模式下開展工作，往往造成“只見樹木、不見森林”的結果。

（二）信息系統中樞：數據字典

不同于普通的業務用戶，面對信息系統，審計用戶需要有全局數據視野。要實現審計主管部門要求的審計全覆蓋，首先要保障對數據源的全覆蓋，任何數據上的盲區都可能帶來審計監督上的疏漏。由于客戶端是數據的受控端，而服務端才是數據的大本營和控制端，因此要消除審計視野下的數據盲區，需要我們改變觀察數據的角度。認識數據的服務端，才能在業務上縱覽全局。

為了協調全局性的數據管理，現代信息系統的服務端都有一個類似信息中樞的部件——數據字典（Data Dictionary），它是數據服務平臺內置的一套數據結構，所有的數據對象都會被注冊在這里。如果把服務端比作一座圖書館，則數據字典相當于館藏圖書的總目錄。重要的是，這個信息中樞始終保持閑人免進的狀態（只讀屬性），其內容由平臺系統（通常是DBMS）負責自動更新與維護。這為審計人員真實掌握整體業務數據的全貌提供了一個客觀的觀察手段。

（三）業務處理的過程化數據：交易檔案

現代信息系統目前已經發展為一種廣義的IT基礎設施，在提供基本的數據存儲和訪問服務的同時，數據保障服務也成為平臺服務的標配，如數據安全、聯機鏡像與備份、高可用性與高性能等，由此產生出豐富的基礎數據，交易檔案（Transaction Archive/Log）就是其中之一。這里的交易是一種廣義的概念，信息系統中的所有業務處理都是以交易的形式執行的，交易是數據處理的基本單元。

交易檔案類似于人工處理業務時形成的紙質化檔案，它是現代信息系統正常運行的原生數據，是客戶端的業務處理在信息系統里留下的交易軌跡和憑據，也是服務端自身的一種數據保障機制。從技術層面看，交易檔案使所有的業務處理在服務端都處于有跡可尋、有據可查的狀態;從業務層面看，業務處理的結果體現在數據的改變上，業務處理的過程體現在交易檔案里。交易檔案對于內部審計的核心價值在于，它完整地保存了交易過程中的數字化軌跡，讓數據在動態的業務處理中始終保持可追溯性。

電子化的交易檔案在存儲、檢索和再利用方面有著天然優勢，可以發揮與紙質檔案同樣的作用，且更加全面、高效。不過由于交易檔案是信息系統在運行過程中的一種衍生資源，具有較強的專業性和一定程度的隱蔽性，當前在審計領域并未得到充分利用。大數據時代，隨著紙質檔案的逐漸消失，檔案電子化趨勢已成為必然，要實現高效的信息系統審計，交易檔案應該發揮其更大的價值。

三、數據字典在信息系統審計中的應用

（一）數據字典中的元數據

數據字典被比喻為信息系統內部的信息中樞，負責存儲和管理一類特殊數據——元數據（Metadata）。英文里對元數據的解釋是：Data about data，這里的第二個data指的是業務數據（Business data），它記錄著服務端的全部管理和運行信息。對于內部審計人員來說，可能關注的問題有：服務端有哪些真實的訪問賬戶、每個賬戶下有哪些數據對象（表、視圖、報表等）、每個數據對象的結構及數據訪問的權限分配有哪些等。審計人員通過訪問數據字典，可以完整地了解全部的業務數據及其在服務端的組織情況。借助數據字典，審計人員面對信息系統，不再“盲人摸象”，而是擁有“大象”的全部。

（二）數據觀察的全局化視野

數據字典是信息系統服務端的核心部件，服務于數據管理目標，面向業務的普通賬戶連接并不會意識到它的存在。如圖1所示，業務端的賬戶1連接訪問的是數據集（局部業務數據）A，審計端的賬戶2連接訪問的是數據集B，兩個數據集的范圍可能存在交叉也可能完全隔離，這取決于服務端的數據訪問控制。理想情況，這里的數據集A和B應該完全等價，這是實現真實審計的前提。然而實際情況并非總是如此，審計實踐中出現的真假兩套賬、賬外賬等違規違紀情形，都是A和B不等價的具體表現。

鑒于數據集A、B的不等價，信息系統中的數據在審計視角下和業務視角下呈現出兩套不同的數據景象。作為客戶端應用，如果審計用戶使用常規的業務連接（如圖1所示的連接2）就不會發現數據集A的存在，更不會感知到A和B的不同，當然也不可能感知到其它可能的數據集。然而所有的數據集都在創建時被平臺自動注冊在數據字典中，如果審計用戶能夠通過具有管理權限的賬戶連接系統，如圖1的虛線部分所示，就能夠透過數據字典有效地觀察到全部的數據集（數據對象）及其業務內容。

這里數據字典對于業務審計的應用價值在于，它讓審計人員擺脫“盲人摸象”的境地，讓所有的業務數據透明化，消除審計視角下的數據盲區，實現業務數據全覆蓋。

四、交易檔案在信息系統審計中的應用

（一）交易檔案的兩個側面

本質上信息系統的運行過程就是不斷執行各種交易（業務處理）的過程，且服務端在執行業務處理的過程中會即時生成電子化的交易檔案。其技術上的目的是為了應對業務處理過程中可能存在的兩種情形，中途取消（undo）或事后重演（redo），于是交易檔案就有對應的兩個部分，undo檔案和redo檔案。這是交易檔案的一體兩面，前者是為了防止交易在執行過程中被取消（人工終止或因故失敗），數據需要被還原到交易前狀態，后者是交易被成功執行后留下的例行記錄（交易憑據）。當用戶發起一項業務請求時，用戶關心的是處理結果，而服務平臺關心的則是交易的可靠性和數字化軌跡。從審計的角度，交易檔案恰好成為我們觀察業務處理的一種過程化數據。

需要注意的是，聯機記錄交易檔案雖然是信息系統服務端的內置行為，但交易檔案的保存時限卻和傳統的紙質檔案一樣，完全由用戶根據業務管理的需要來確定，這也是信息系統服務平臺需要運維的主要原因之一。目前電子化的交易檔案在信息系統中的存儲、管理和維護也日益規范化、持久化。

（二）數據與業務處理的可追溯性

交易檔案在信息系統的數據管理與日常運維中有著多方面的用途，下面僅討論它在業務審計上的應用。

如圖2所示，當前時間為t2時刻，交易檔案存在于t1至t2區間（從技術上兩類檔案的區間可以相同也可以不同），并在t1時間點存在歷史數據的備份。通過t1時刻的數據備份，我們可以掌握t1時刻的靜態數據。但備份不能隨時進行，故這些靜態數據只能存在于一些固定的歷史時刻。在業務審計過程中，如果我們需要觀察這些固定時刻之外的業務數據，就可以利用交易檔案來還原曾經的業務處理過程，實施基于時間點的數據推演。這一機制為審計線索的追蹤提供了可靠的技術手段。

值得一提的是，利用交易檔案執行數據推演可以正向進行也可以反向進行，如圖2的箭頭方向所示，兩個方向的推演都需要以某個時刻的業務數據作為起點。反向推演常以當前狀態為起點，正向推演則需要以某個歷史時刻的狀態為起點（常由備份時刻實現，如圖2所示的t1時刻）。這里綜合運用交易檔案的不同部分，可以實現更靈活的業務追蹤。如圖2所示，正反兩個方向都可以到達tx時刻;以此作為新的起點，數據推演可以繼續向前或向后，從而實現對歷史業務數據的動態觀察。這就是由交易檔案實現的電子化查檔，相較于傳統紙質檔案的查檔操作，這種方式更加方便、快捷、高效。

交易檔案作為信息系統一類重要的數據資源，其應用遠不限于上述的查檔與追蹤。融合應用場景，可以實現更加廣泛的審計輔助，如在審計具有關聯關系的業務時，業務流程、時間節點等都是可能的審計要素，X、Y兩個業務事件，X至Y是正常的業務往來，Y至X則可能是某種違規、違紀行為。由此可見，交易檔案的應用，改變了信息系統審計觀察數據的方式，業務數據不再是靜態的存在，而是一個動態可追溯的過程。

五、構建信息系統審計的模擬環境

一種新的審計思路與方法能否得到推廣應用，取決于它能否被審計人員理解和掌握。為了實踐本文提出的信息系統審計思路，同時也為了該項審計方法的推廣、交流和培訓，我們構建了一套專門的模擬審計環境，其整體結構如圖3所示。

以某單位的財務數據作為模擬審計對象，通過調度程序不斷注入典型的財務業務來保持財務數據的動態性，用以模擬生產系統中的數據特性。一方面，通過數據字典我們可以清晰地觀察到不同登錄賬戶下的財務數據，了解財務數據在不同賬戶下的分布，避免數據視野僅局限于某個單一登錄賬戶下的弊端;另一方面，通過交易檔案為業務審計提供歷史數據的透視能力，即回顧指定資金的歷史變更情況及關鍵時間節點，如圖3所示的資金軌跡1、資金軌跡2等（兩者的交易頻度不同）。

下面簡要介紹模擬實證環境的主要模塊及其功能。

（一）信息系統數據平臺

選擇業界廣泛使用的ORACLE系統，建立樣本數據庫，并提供一整套用于業務審計的財務模型（庫表結構）。

（二）財務業務模擬器

一套可以按時間調度執行的作業（Schedulable Job），用于模擬財務系統的典型業務。與生產系統不同的是，為方便驗證對歷史數據的追蹤，這里的數據更新項都帶有明確的時間戳（Timestamp）信息。

（三）檔案管理與維護

隨著模擬業務的執行，系統會持續生成交易檔案。此部分用于模擬財務系統針對交易檔案的管理、歸檔、有效期控制、過期處理等場景。

（四）數據字典應用

認識和理解數據字典，觀察其構成，通過訪問數據字典驗證數據模型的定義、結構及其用戶模式（Schema）、權限等信息，觀察全部的財務數據。

（五）交易檔案應用

在觀察當前財務數據的基礎上，追蹤財務數據的演化歷史，主要功能有歷史數據采樣、賬戶資金的數字化軌跡、數據的波動性分析等，如設置閾值，過濾出波動顯著的賬戶及其對應的資金、交易時間節點等。

進一步地，如果結合實際的業務需求，如圖3所示的模擬環境可以實施和驗證更廣泛的審計項目，如數據分析、安全審計、業務風險提示與預警等。

六、總結與展望

在進入“大智移云”時代的今天，信息系統作為一種高度專業化的IT系統，對其進行審計需要越過技術看數據，用數據說話，特別是業務審計。審計人員雖然不需要直接掌握相關技術，但需要理解并接受新技術、新觀念對我們看待數據方式的影響。本文從數據服務角度，提出一大類用于信息系統審計的數據觀察方法。一方面借助數據字典，審計人員可以打開觀察數據的視野，即通過元數據掌握業務數據全貌，消除業務審計中的數據盲區;另一方面，借助交易檔案，審計人員可以“看見”過去的歷史，即通過基于時間點的數據觀察實現對業務數據的追蹤，在更寬的時域范圍上“透視”數據及其業務處理。綜合應用數據字典和交易檔案，被審計業務及其數據可以得到立體化的呈現，由此審計人員獲得一種全方位的數據觀察手段，進而在業務審計中掌握“用數據說話”的主動權。

本文涉及的兩類數據資源是現代信息系統背后的原生數據，屬于典型的大數據范疇，其內容真實地記錄了用戶數據的廣度（業務范圍）和深度（時間跨度），是開展信息系統審計的可靠數據源。然而因存在一定的技術門檻，目前這類數據在審計領域的應用仍處于起步階段，其價值在信息系統審計實踐中有待進一步發掘和利用。

我們認為，大數據并不是空泛的數據，大數據的價值需要落實到具體的應用上。為了實踐本文的信息系統審計思路，我們在提供審計方法和模擬環境的基礎上，一并提出對應的數據技術支持，希望對推動大數據在審計領域的深入應用有所示范。

（作者單位：山東工商學院，郵編：264005，電子郵箱：joracle@qq.com）

主要參考文獻

[1] 白露.美國審計署對美聯儲信息系統審計的主要做法及啟示[J].中國內部審計， 2017（9）：84-86

[2] 山東省審計學會課題組，欒心勇，孟祥宇.山東大數據審計探索與實踐[J].審計研究， 2020（3）：29-35

[3] 嚴立鵬， 王優. 我國信息系統審計的現狀，創新與探索[J].中國新通信， 2018（15）：82

[4] Ioan Rus. Technologies and Methods for Auditing Databases[J]. Procedia Economics and Finance， 2015（26）： 991-999